- Die Coins konnten aufgrund der "Re-Entrancy"-Schwachstelle bei Vyper gestohlen werden.
- Upbit hat den Handel mit dem CRV-Token vorübergehend gestoppt.
- Ähnliche Sicherheitslücken werden bei andere Projekten auf Vyper erwartet.
Die DeFi-Plattform Curve Finance wurde Ende Juli Opfer eines Hacker-Angriffs, berichtet CoinDesk unter Berufung auf einen Tweet des Entwickler-Teams. Die unbekannten Cyber-Kriminellen haben eine als "Re-Entrancy" bekannte Schwachstelle bei Vyper ausgenutzt. Es handelt sich dabei um eine Programmiersprache, die hinter einigen Komponenten des Curve-Ökosystems steht.
Die Angreifer haben mehrere Stablecoin-Pools im System geleert. Diese Pools wurden zur Bereitstellung von Liquidität für verschiedene DeFi-Dienste von Curve Finance verwendet.
Was ist passiert?
Ein "Re-Entrancy"-Fehler ist eine Art von Software-Sicherheitslücke, die Programmen auftritt, bei denen mehrere Prozesse gleichzeitig ablaufen. Dabei kann der Code einer Anwendung unterbrochen und wieder aufgerufen werden, bevor die vorherige Ausführung abgeschlossen wurde. Das kann zu unerwartetem und unerwünschtem Verhalten führen.
Solche Fehler treten typischerweise aufgrund gemeinsam genutzter Ressourcen und Asynchronität auf. Mehrere Threads oder Prozesse teilen sich oft gemeinsame Ressourcen wie globale Variablen, Objekte oder Datenstrukturen.
Wenn die gemeinsam genutzten Ressourcen nicht ordnungsgemäß synchronisiert oder geschützt werden, kann es möglich sein, dass ein Prozess einen anderen Prozess unterbricht, während dieser die gemeinsam genutzte Ressource verwendet oder ändert.
Folgen des Angriffs
Die genaue Ursache des Fehlers ist derzeit nicht bekannt, aber mehrere Kryptobörsen haben bereits den Handel mit nativen Token von Curve Finance CRV ausgesetzt, wie zum Beispiel die südkoreanische Upbit, die ankündigte:
CRV weist derzeit eine erhebliche Volatilität auf. Wir raten zur Vorsicht bei jeglichen Investitionen in Bezug auf CRV. Um die Sicherheit von Transaktionen mit digitalen Vermögenswerten zu gewährleisten, haben wir vorübergehend Ein- und Auszahlungen für CRV ausgesetzt.
Weitere Perspektiven
Ähnliche Sicherheitslücken werden für andere Projekte erwartet, die Vyper verwenden. So schätzte der Blockchain-Analyst BlockSec, dass die Gesamtverluste 42 Millionen US-Dollar überschreiten können.
Laut eigenen Angaben betreibt Curve Finance 232 Pools, aber nur ein Bruchteil von ihnen soll gefährdet sein. Der Hack hat zu einem Preisrückgang des CRV-Tokens um knapp 15 % innerhalb von 24 Stunden geführt. Derzeit kann man laut CoinMarketCap den CRV-Token für rund 0,6 US-Dollar kaufen.
Aufgrund des Angriffs besteht auch das Risiko der Liquidation der Kreditposition von Curve auf Aave. Diese Position hat den Wert von 70 Millionen US-Dollar.
Mitwirkende
